Elektronischer Pass

Inhaltsverzeichnis

Udo Helmbrecht, Präsident des Bundesamts für Sicherheit in der Informationstechnik, hat die Idee einer neuen Generation von Reisepässen bereits vorgestellt: Biometrische Merkmale wie das Gesicht oder ein Fingerabdruck würden auf einem im Pass integrierten RFID-Chip gespeichert. Für die Antenne zur Datenübertragung müsste nur noch der Pass etwas vergrößert werden. Helmbrecht hält die RFID-Technik datenschutzrechtlich für unbedenklich, „so lange niemand den Chip schluckt“. Für Big-Brother-Award-Organisator Padeluun ist es hingegen generell „ein Verbrechen, Menschen als Nummern automatisch abfragbar zu machen“.

Die Idee aber hat in Europa Konjunktur, die Herstellerfirmen stehen Gewehr bei Fuß: Die schweizerdeutsche Firma Idencom hat Muster für deutsche, österreichische und skandinavische Reisepässe mit einem integrierten, 72 Kilobyte Daten fassenden RFID-Chip hergestellt. Hält der Beamte den Ausweis in einer Entfernung von maximal 10 Zentimetern über ein Lesegerät, werden die Daten des Chips - das digitalisierte Bild des Inhabers, zwei gespeicherte Fingerabdrücke und persönliche Informationen - ausgelesen und auf einem Bildschirm angezeigt. Die angezeigten Daten vergleicht der Beamte mit den in den Pass gedruckten Daten. Die Bundesdruckerei hat bereits auf der CeBIT das passende RFID-Lesegerät präsentiert. In einige europäische Länder hat sie das so genannte „Verifier Terminal“ bereits für Feldtests verkauft, ebenso nach Asien.

Die niederländische Firma Enschede/SDU produziert schon jetzt in den Niederlanden und in Irland Pässe und Personalausweise, die sich technisch aufrüsten lassen: Beide Ausweise bestehen aus Polycarbonat, in das ein RFID-Speicherchip integriert werden kann. Der niederländische Personalausweis kann jetzt schon einen Kontaktchip aufnehmen und so zu einem elektronischen Ausweispapier migrieren. Mit französischen, österreichischen, schwedischen und slowenischen Firmen entwickelt Chiphersteller Infineon im EU-Projekt „Digital Passport“ die neue Generation der Reisepässe. Infineon ist an mehr als zehn Projekten beteiligt, darunter Laborversuchen in Australien, den USA und Singapur.

Tempomacher

Die Entwicklung wird vor allem von den USA vorangetrieben: Laut US-Gesetz sollen alle ab dem 26. Oktober 2004 ausgestellten Reisepässe mit biometrischen Daten versehen sein, damit eine visumsfreie Einreise in den USA weiterhin möglich ist. 26 Länder, darunter die EU-Staaten, sind von der neuen Regelung betroffen. Doch die EU will erst ab 2005 biometrische Reisepässe ausgeben. „Selbst die USA werden ihre Pläne kaum umsetzen können, da sie noch nicht über geeignete Lesegeräte verfügen“, meint Benedikt Ahlers, Vertriebsleiter bei der Bundesdruckerei. Erst seit Anfang 2004 stehen in den USA die Haushaltsmittel für den Ausbau der Grenzkontrollen zur Verfügung.

Die US-Regierung will nun den Kongress bitten, den Termin um zwei Jahre zu verschieben. Vorerst müssen sich daher die Touristen aus den Visa-Waiver-Ländern wie Deutschland, Österreich und der Schweiz ab dem 30. September Fingerabdrücke abnehmen und fotografieren lassen. Die Folge: Alle diese gesammelten biometrischen Daten landen in einer Datenbank des US-Ministeriums für Innere Sicherheit - ein Albtraum für Datenschützer.

Aber alle Staaten sind an einer Weiterentwicklung der Reisepässe interessiert. Nationale Alleingänge soll es nicht geben, da das Risiko von Fehlinvestitionen zu groß ist. In der internationalen Zivilluftfahrtorganisation ICAO arbeiten seit Jahren vornehmlich Fluggesellschaften und Einwanderungsbehörden aus 188 Ländern an internationalen Standards für Reisepässe. Die UN-Behörde will demnächst einen Vorschlag verabschieden, wonach ab 2006 alle Länder Reisepässe ausstellen können, deren biometrische Daten sich über einen RFID-Chip aus zehn Zentimeter Entfernung auslesen lassen. Als biometrisches Verfahren bestimmte die ICAO schon vor vier Jahren die Gesichtserkennung.

Den ICAO-Vorschlag griff schon im Februar der EU-Rat mit einer eigenen Standardisierungsoffensive für die Sicherheitsmerkmale in den EU-Reisepässen auf, um „Betrug, Visa-Shopping und Terror“ zu bekämpfen, wie EU-Kommissar Antonio Vitorino sagt. Bis Ende 2004 will der EU-Rat seinen Vorschlag präzisieren, ab 2005 sollen die neuen Reisepässe ausgegeben werden. Außerdem wollen die EU-Staaten ab 2006 über das Visa-Informationssystem VIS untereinander Ausweisbilder und biometrische Daten aller Schengen-Visa-Antragsteller austauschen. Rund 12 Millionen Anträge werden für die Einreise nach Westeuropa jährlich gestellt, manche davon gleich mehrfach in verschiedenen europäischen Staaten.

Markierungen

Noch sind sich die EU-Länder uneinig, welche körperlichen Merkmale als biometrische Daten zum Einsatz kommen. Gemäß den ICAO-Vorgaben sollen in der Europäischen Union Passbilder als biometrische Daten auf einem Chip gespeichert werden. Optional darf ein Staat den Fingerabdruck als zusätzliches biometrisches Merkmal entweder im Pass oder einer nationalen Datenbank speichern. Die Iris darf als drittes Merkmal genutzt werden. Vor allem Deutschland, Italien und Frankreich hatten die Zusatzmerkmale gefordert.

Bundesinnenminister Otto Schily präferiert hingegen wie auch die USA den Fingerabdruck als Primärmerkmal, da er „für die Suche in großen Dateien besonders geeignet“ sei. Dabei soll, so ein Experte des österreichischen Innenministeriums, der Fingerabdruck allerdings nur für 1:1-Abgleiche geeignet sein: Der Beamte vergleicht hierbei den gespeicherten Fingerabdruck mit dem vom Ausweisinhaber aufgelegten Finger. Ein Abgleich des gezeigten Fingers mit einer Datenbank, wie er in den USA bevorzugt wird, führt bislang zu hohen Fehlerraten. Die Iriserkennung eignet sich angeblich besser für automatisierte Kontrollen, was der Pilotversuch am Frankfurter Flughafen (siehe dazu c't 7/04) erweisen soll. Das Gesicht hingegen wird derzeit für den Abgleich mit Überwachungslisten für Terroristen und andere Kriminelle bevorzugt. In den Polizeidatenbanken befinden sich heute vor allem Gesichtsbilder, wenige Bilder von Fingerabdrücken und keine Irisbilder.

Laut ICAO soll der Chip auf dem Pass mindestens 32 Kilobyte Daten speichern können. Das US-Innenministerium seinerseits präferiert einen 64-KByte-Chip. Allerdings gibt es noch keinen Hersteller, der solche Chips schon jetzt massenhaft herstellt. Infineon hat einen 32-KByte-Chip in petto, der auf Zuruf in Massen gefertigt werden könnte, heißt es bei dem Hersteller.

Detlef Houdeau, Leiter der Geschäftsentwicklung bei Infineon, schlüsselte für c't den Speicherbedarf auf: 20 KByte sind für den Rohdatensatz eines Gesichts nötig, mit JPEG-Komprimierung sogar nur 16 KByte. Laut ICAO muss der Pass die Originaldaten und kein Template enthalten, damit die Länder mit unterschiedlichen Extraktionsmerkmalen darauf zurückgreifen können. Bei den zusätzlichen biometrischen Merkmalen dürfen ersatzweise auch Templates gespeichert werden. Pro Finger sind 10 KByte nötig. Das Template, in diesem Fall das Abbild der Minutien (die charakteristischen Punkte eines Fingerabdrucks), hat eine Größe zwischen 250 und 750 Byte. Die Iris schließlich benötigt ein 30-KByte-Bild beziehungsweise ein 512-Byte-Template, das derzeit jedoch durch ein Patent der Firma Iridium bis 2008 geschützt ist. Auf den Chip werden schließlich auch die persönlichen Daten und Zusatzvermerke wie etwa „Botschaftsangehöriger“ gespeichert.

Für Visa reicht ein 10-KBit-Chip, der für Smart Labels, wie sie in Warenflusskontrollsystemen eingesetzt werden, bereits massenhaft fabriziert wird. Auch die nächste Chipgeneration steht schon vor der Tür: Infineon hat einen 64-KByte-Chip angekündigt, der ab September verfügbar sein soll. Und Philips hat eine kleine Charge von 72-KByte-Chips für Reisepass-Prototypen produziert und könnte ebenfalls auf Zuruf in die Massenfertigung einsteigen.

Knitterfrei

Technisch ausgereift sind die neuen Pässe keineswegs. Sorgen macht den Experten unter anderem die Frage der Haltbarkeit: Wie müsste ein Reisepass mit eingebettetem Chip und Antenne aussehen, der dem Abstempeln und Knicken zehn Jahre lang Stand halten könnte? Wie interoperabel müssen die Systeme sein? Ab Sommer versucht das US-Ministerium für Innere Sicherheit gemeinsam mit Partnern in Neuseeland, Australien, Japan und Deutschland herauszufinden, wie ein multinationales Zugriffsberechtigungssystem aussehen kann und welche Lesegeräte überhaupt welche Reisedokumente lesen können.

Ungeklärt ist noch, wie die Daten auf dem Chip strukturiert und verschlüsselt werden. Problematisch dürfte sein, dass Pässe bislang zehn Jahre gültig sind. Deshalb müssen auch die verwendeten Kryptoalgorithmen mindestens zehn Jahre lang sicher sein. Nach der deutschen Signaturverordnung dürfen die Zertifikate höchstens fünf Jahre, die Schlüssel müssen mindestens sechs Jahre gelten. „Sollte ein Schlüssel überraschend früher ungeeignet werden, müsste ein Verfahren der Neuverteilung etabliert sein, das alle Betroffenen relativ schnell mit neuen Schlüsseln beziehungsweise Ausweisen ausstattet“, sagt der Signaturexperte und Kasseler Juraprofessor Alexander Rossnagel. „Die Frage der Schlüssel, wie lange sie gültig sein müssen und ob einfache, fortgeschrittene oder qualifizierte Signaturen verwendet werden, ist bis heute nicht gelöst“, sagt Houdeau.

Wer die Zertifikate und öffentlichen Schlüssel für das asymmetrische Verschlüsselungsverfahren verwalten wird, ist hingegen schon fast ausgemacht: Ein Entwurf sieht vor, dass die ICAO die Funktionen einer Zertifizierungsinstanz übernimmt. In diesem Fall würde sie die öffentlichen Schlüssel verwalten und auf ihrer Website veröffentlichen, während die einzelnen Regierungen ihre privaten Schlüssel behalten.

Auch bei der Biometrie selbst handelt es sich noch nicht um eine wirklich ausgereifte Technik. Erst kürzlich testete die International Biometric Group (IBG) die Produkte von elf Herstellern und stellte dabei große Unterschiede fest: Bei der Ersterfassung reichten die Fehlerraten von 0 bis 23 Prozent, nach sechs Wochen wurden noch immer bis zu zwei Drittel der Versuche falsch abgewiesen. Für IBG-Direktor Dennis Carlton steht jedoch fest, dass biometrische Systeme nicht zu 100 Prozent sicher sein müssen, um die Sicherheit an den Grenzen zu erhöhen: „Die bloße Existenz eines Gerät, das einen Einzelnen mit seinem Ausweispapier in Verbindung bringen kann, wird für viele Betrüger abschreckend sein.“

Schließlich bleibt die übliche Frage nach dem Geld: Der US-Rechnungshof kalkuliert bei einer Einführung von biometrischen Pässen in den USA mit Kosten von bis zu 8,8 Milliarden US-Dollar und rund 2,4 Milliarden Dollar jährlichen Folgeausgaben. Die Einführung biometrischer Visa kann mit bis zu 2,9 Milliarden Dollar zu Buche schlagen - mit jährlichen Folgekosten von bis zu 1,4 Milliarden Dollar.

Die Auswirkungen auf den Handel und die Tourismusindustrie, betont etwa der Rechnungshof, seien dagegen nur schwer zu beziffern. Für die Europäische Union liegen keine Zahlen vor. In Deutschland hat das Büro für Technikfolgenabschätzung des Bundestags vor kurzem eine Studie vorgelegt. Sie geht davon aus, dass die Einführung einer neuen Generation von Chip-Reisepässen rund 670 Millionen Euro kosten würde. Bei den laufenden Kosten erhöht sich der Finanzbedarf um jährlich 610 Millionen Euro. Eine Debatte über die Abwägung von Kosten und Nutzen der neuen Hightech-Pässe hat noch gar nicht angefangen: Die Einführung der neuen Ausweispapiere werde „ein gigantischer Labortest“, prophezeit Thomas Petermann, Co-Autor der Studie. (jk) (jk)